В общем работаю в аутсорс-конторе. второй раз (у второго по счету клиента) получал пароль следующим образом.
звонишь в эти их америки по скайп, представляешься, называешь свой айди, своего менеджера, свою локацию, они там что-то шуршат по сусекам, и диктуют временный пароль.
странная какая-то практика. имхо нифига не секьюрно. почему не прислать временный пароль на корпоративную почту самой аутсорс конторы? туда абы кто доступа не имеет, как на общественные почтовые сервисы типа яндекс.
а так вероятность утечки куда выше кмк.
Почему-то никогда не встречал разделение пароля на две части. Например первые пять символов на почту, вторые пять символов на смс. Сикурности дофига, но проще ж гораздо. Я так другу пересылал пару своих паролей
H>Почему-то никогда не встречал разделение пароля на две части. Например первые пять символов на почту, вторые пять символов на смс. Сикурности дофига, но проще ж гораздо. Я так другу пересылал пару своих паролей
если другу, можно завести вербально общий пароль, и потом архивировать с этим паролем конфиденциальные данные. тут уж гарантия
Здравствуйте, Homunculus, Вы писали:
H>Почему-то никогда не встречал разделение пароля на две части. Например первые пять символов на почту, вторые пять символов на смс. Сикурности дофига, но проще ж гораздо. Я так другу пересылал пару своих паролей
Мне на рабочую почту присылали запаролленный архив с паролями. А пароль к архиву через телефон.
Но это не общая практика, а админ толковый.
Здравствуйте, Homunculus, Вы писали:
H>Почему-то никогда не встречал разделение пароля на две части. Например первые пять символов на почту, вторые пять символов на смс. Сикурности дофига, но проще ж гораздо. Я так другу пересылал пару своих паролей
Наверное, мало кто из персонала может справиться с соединением этих двух частей назад.
Казалось бы, ИТ-ников так можно и набирать: присылаешь им персональный пароль в двух частях. Кто сумел залогиниться, тот и принят. Претендентам на сеньерские должности можно одну часть посылать в виде base64, а другую — UUENCODE.
Здравствуйте, undo75, Вы писали:
U>странная какая-то практика. имхо нифига не секьюрно. почему не прислать временный пароль на корпоративную почту самой аутсорс конторы? туда абы кто доступа не имеет, как на общественные почтовые сервисы типа яндекс. U>а так вероятность утечки куда выше кмк.
Эта практика точно лучше пароля на корп. почту, т.к. знаешь его только ты, а не ты и админы почты. Если звонок с видео и у них есть твоя фотка, то я бы назвал этот способ безопасным — 2FA по биометрии и секрету (айди и фамилия менеджера)
Здравствуйте, undo75, Вы писали:
U>странная какая-то практика. имхо нифига не секьюрно. почему не прислать временный пароль на корпоративную почту самой аутсорс конторы?
Наоборот, очень даже секьюрно. Что бы взломать схему надо прослушать сообщение, что довольно затруднительн. А вот временный пароль по почте как раз несекьюрно.
scf>Эта практика точно лучше пароля на корп. почту, т.к. знаешь его только ты, а не ты и админы почты. Если звонок с видео и у них есть твоя фотка, то я бы назвал этот способ безопасным — 2FA по биометрии и секрету (айди и фамилия менеджера)
а как бы админы это узнали? не админ, поэтому должно быть глупый вопрос, на эксчендж сервере можно вот так запросто прочитать чью-то переписку, просто зайдя под админом? если так, что-то уж подозрительно редко происходят громкие утечки данных.
п.с. встречал еще такую практику, когда на корпоративную почту присылают первым письмом логин, следующим пароль. тоже не вижу смысла. перехватили первое, в чем проблема перехватить второе?
I>Наоборот, очень даже секьюрно. Что бы взломать схему надо прослушать сообщение, что довольно затруднительн. А вот временный пароль по почте как раз несекьюрно.
достаточно сфоткать табличку проходя мимо монитора с айдишниками и т.п.. и позвонить сможет кто угодно и получить пароль.
Здравствуйте, undo75, Вы писали:
I>>Наоборот, очень даже секьюрно. Что бы взломать схему надо прослушать сообщение, что довольно затруднительн. А вот временный пароль по почте как раз несекьюрно.
U>достаточно сфоткать табличку проходя мимо монитора с айдишниками и т.п.. и позвонить сможет кто угодно и получить пароль.
Сфоткать какие то айдишники можно, а сфоткать готовый пароль в емейле никак нельзя, да?
Обычно во время звонка происходит процедура аутентификации. Для того, что бы её обойти, надо гораздо больше, чем сфоткать айдишники — надо предварительно заполучить доступ к определенным сведениям, которых в публичном доступе никогда не бывает.
Здравствуйте, undo75, Вы писали:
U>В общем работаю в аутсорс-конторе. второй раз (у второго по счету клиента) получал пароль следующим образом. U>звонишь в эти их америки по скайп, представляешься, называешь свой айди, своего менеджера, свою локацию, они там что-то шуршат по сусекам, и диктуют временный пароль.
Оно не всегда так, но часто процесс одинаковый для онсайта и для оффсайта (аутсорса). Когда берут на работу онсайт — куда ему пароль слать? На домашнюю почту чтоли? Они точно так же звонят, им точно так же диктуют.
U>странная какая-то практика. имхо нифига не секьюрно. почему не прислать временный пароль на корпоративную почту самой аутсорс конторы? туда абы кто доступа не имеет, как на общественные почтовые сервисы типа яндекс.
А откуда они знают, что корпоративная почта аутсорс конторы — это не просто красивый домен, прикрученный к тому же яндексу? Откуда клиент знает, что внутри вашей компании политики безопасности соответствуют их политикам? Может у вас там все с паролем qwerty живут — и никто не чешется по этому поводу? Если это прям вопрос жизни и смерти для успеха проекта, клиент вам даст свои требования по безопасности, админы могут попытаться их выполнить, вплоть до отдельного помещения с опечатанными компами и отдельным физическим каналом, далее придёт аудит, посмотрит, и если результат будет ок — можно пользоваться корпоративной почтой с этих конкретных компов. Я за 10 лет аутсорса это всего 1 раз видел и по-моему так и не дождался чем всё закончилось.
Здравствуйте, Homunculus, Вы писали:
H>Здравствуйте, undo75, Вы писали:
H>Почему-то никогда не встречал разделение пароля на две части. Например первые пять символов на почту, вторые пять символов на смс. Сикурности дофига, но проще ж гораздо. Я так другу пересылал пару своих паролей
В копилку. Написать пароль на бумажке, сфоткать, прислать ссылку на фото.
(а в логах вебсервера посмотреть склько раз и откуда её скачают).